windows服务器cpu占用率过高如何解决,dllhost进【jìn】程造【zào】成CPU使用率占用100%,svchost.exe造【zào】成CPU使用率【lǜ】占用100%Services.exe造成CPU使用率占用100%正常软件【jiàn】造成【chéng】CPU使用率占用100%
特征:服务器正常CPU消【xiāo】耗应该在75%以下,而且CPU消耗应【yīng】该是上下起伏的。出【chū】现这【zhè】种问题【tí】的【de】服务器,CPU会突然一直处100%的水平,而且不会【huì】下【xià】降。查看任务管理器,可以发现是DLLHOST.EXE消【xiāo】耗了所有的CPU空闲时间,管理员在这种情况【kuàng】下,只好重新启动IIS服务,奇怪的是,重新启【qǐ】动IIS服【fú】务后【hòu】一【yī】切【qiē】正常,但可能【néng】过【guò】了一段【duàn】时【shí】间后,问题又【yòu】再【zài】次出现了。
直接原因:
有一个或多个ACCESS数据库在多【duō】次读【dú】写过程中损坏,微软的 MDAC 系【xì】统【tǒng】在写【xiě】入这个损【sǔn】坏的ACCESS文件时,ASP线程处【chù】于BLOCK状态,结果其它线程只能等【děng】待【dài】,IIS被死锁了,全部的CPU时间都【dōu】消耗在DLLHOST中。
解决办法:
安装“一流信息监控拦截系【xì】统【tǒng】”,使用其【qí】中的“首席文件【jiàn】检【jiǎn】查【chá】官IIS健康检查【chá】官”软件,
启用”查找死锁模块”,设置:
--wblock=yes
监控的目录,请指定您的主机的文件所在目录:
--wblockdir=d:\test
监控生成的日志的文件保存【cún】位【wèi】置在【zài】安装目录的log目录中,文【wén】件名为:logblock.htm
停止IIS,再启动【dòng】“首席文件检查官【guān】IIS健康检查官”,再启动IIS,“首席文件检查官IIS健康【kāng】检查官”会【huì】在【zài】logblock.htm中记【jì】录下最后写入的ACCESS文件的。
过了一段时间后,当问题出【chū】来时,例如CPU会再次一直处100%的水平,可【kě】以停止【zhǐ】IIS,检查logblock.htm所记录的最【zuì】后的十个【gè】文【wén】件,注意,最有问题的往往【wǎng】是计数器类的ACCESS文【wén】件,例如【rú】:”**COUNT. MDB ”,”**COUNT.ASP”,可以先把【bǎ】最后十个【gè】文件【jiàn】或有所怀疑的文件删除到【dào】回【huí】收站中【zhōng】,再【zài】启【qǐ】动IIS,看【kàn】看问题是否再次出现。我们相信,经过仔【zǎi】细的查找【zhǎo】后,您肯定可以找到这个让您操【cāo】心了【le】一段时间【jiān】的【de】文件的。
找到这个文件后,可【kě】以【yǐ】删【shān】除它,或下【xià】载下来,用ACCESS2000修【xiū】复它,问题就【jiù】解决了。
在win.ini文件中,在[Windows]下面,“run=”和“load=”是【shì】可能加载“木马”程序的途径【jìng】,必须【xū】仔【zǎi】细留【liú】心它们。一般情况下,它们的【de】等号后面什幺都没【méi】有,如果发现后面跟有【yǒu】路径与文件名不是你熟悉【xī】的【de】启动文件,你的【de】计【jì】算机就可能中上【shàng】“木马”了。当然你也得看清楚,因为好多“木马”,如【rú】“AOL Trojan木马”,它把【bǎ】自身伪装【zhuāng】成command.exe文件,如果不【bú】注意【yì】可能不会发现它不是【shì】真【zhēn】正的系【xì】统【tǒng】启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文【wén】件名”。正确的文件名【míng】应该【gāi】是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程【chéng】序名”,那幺【yāo】后面跟着【zhe】的【de】那个程序就是【shì】“木马”程序,就是【shì】说你已经中“木马”了。
在注册【cè】表中的情况最【zuì】复杂,通过regedit命令打开注【zhù】册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查【chá】看【kàn】键值中有没有【yǒu】自己【jǐ】不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的【de】文件【jiàn】很像系统【tǒng】自身文【wén】件,想【xiǎng】通【tōng】过伪装蒙【méng】混过【guò】关,如【rú】“Acid Battery v1.0木马”,它将注【zhù】册【cè】表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”,“木马”程序【xù】与真正的Explorer之间【jiān】只有【yǒu】“i”与“l”的差别【bié】。当然在注册表中还有很多地方都可以隐藏“木【mù】马【mǎ】”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都【dōu】有【yǒu】可能,最好的【de】办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马该病毒也称为【wéi】“Code Red II(红【hóng】色代码2)”病毒,与早先在【zài】西方【fāng】英文系【xì】统下流【liú】行“红【hóng】色代码”病毒有点相反【fǎn】,在国际上被称为VirtualRoot(虚拟【nǐ】目【mù】录【lù】)病毒【dú】。该蠕虫病毒利用Microsoft已知的溢【yì】出漏洞,通过【guò】80端【duān】口来传播到其它【tā】的【de】Web页服【fú】务器【qì】上。受感染的机器可由黑客们【men】通过Http Get的请求运行scripts/root.exe来获得对受感染机器的完全控【kòng】制权。
当【dāng】感染一台服【fú】务器成【chéng】功了以后,如果受感【gǎn】染的机器是中文的系统后,该程【chéng】序会休眠2天【tiān】,别的机【jī】器休【xiū】眠1天。当休【xiū】眠的时间到了【le】以后,该蠕虫程【chéng】序会使得机器重新启动。该蠕虫也会检【jiǎn】查机器的月【yuè】份是【shì】否是10月或者年份是否是2002年,如果是,受感染的服务器也【yě】会重新启【qǐ】动。当Windows NT系【xì】统【tǒng】启动【dòng】时,NT系统会【huì】自动搜索C盘根目录下【xià】的文件explorer.exe,受该网【wǎng】络蠕虫程序感染的服务器上的文件【jiàn】explorer.exe也就是该网【wǎng】络蠕【rú】虫程序本身。该文件的大小是8192字节,VirtualRoot网【wǎng】络【luò】蠕虫程序【xù】就是【shì】通过该程序来执【zhí】行【háng】的。同【tóng】时,VirtualRoot网络【luò】蠕虫程序还将cmd.exe的文件从【cóng】Windows NT的system目【mù】录拷贝到别的【de】目【mù】录,给黑客【kè】的入侵敞开了大门。它还会【huì】修改系【xì】统的【de】注册表项目,通过该注册【cè】表项目的【de】修改,该蠕虫程序可【kě】以建立虚拟的目【mù】录C或者D,病【bìng】毒名由此而【ér】来。值得【dé】一提的是,该网络蠕虫程序除了文件explorer.exe外【wài】,其余的操作不是基于文件的,而是直接在内存【cún】中【zhōng】来进行感染、传【chuán】播的,这就给【gěi】捕【bǔ】捉带来了难度。
我们【men】先看看微软【ruǎn】是怎样描【miáo】述svchost.exe的。在微软知【zhī】识库314056中对【duì】svchost.exe有如【rú】下描述:svchost.exe 是从动【dòng】态链接【jiē】库 (DLL) 中运行的服务的通【tōng】用主机进程名称。
其实svchost.exe是Windows XP系统【tǒng】的一个核心【xīn】进程。svchost.exe不单单只【zhī】出现在Windows XP中,在使用【yòng】NT内核【hé】的Windows系统中都【dōu】会有svchost.exe的【de】存【cún】在。一般【bān】在Windows 2000中svchost.exe进程【chéng】的数目为2个,而在Windows XP中svchost.exe进程的数目就上升到了【le】4个【gè】及4个以上。所以看到系统的进程【chéng】列表【biǎo】中有几个svchost.exe不用【yòng】那幺担心【xīn】。
svchost.exe到底是做什幺用的呢?
首【shǒu】先我们要了解【jiě】一点那就【jiù】是【shì】Windows系统的中【zhōng】的【de】进程【chéng】分为:独立进程【chéng】和共【gòng】享【xiǎng】进程这两种【zhǒng】。由于Windows系【xì】统中的服务越来越【yuè】多,为了节约【yuē】有【yǒu】限的系统资源微软把很多的系统服务做成了共享模【mó】式。那svchost.exe在这中【zhōng】间是担任【rèn】怎样一个角色呢?
svchost.exe的工【gōng】作就是作为这些服务的宿主,即【jí】由svchost.exe来启【qǐ】动这些【xiē】服务。svchost.exe只是【shì】负责为这【zhè】些服务提供启动的条件【jiàn】,其自身并不【bú】能实现任何服务的功【gōng】能,也不【bú】能【néng】为用户提【tí】供任何服务。svchost.exe通【tōng】过为这些【xiē】系统服务调【diào】用动态链接库(DLL)的【de】方式来启【qǐ】动系【xì】统服务。
svchost.exe是病毒这种说【shuō】法是任何产【chǎn】生的呢【ne】?
因为svchost.exe可以作为服务的宿【xiǔ】主来【lái】启动服务,所以病毒、木【mù】马的编写者也挖【wā】空心思【sī】的要【yào】利用svchost.exe的这个特【tè】性来迷【mí】惑用户【hù】达到【dào】入侵、破坏计【jì】算机的目的。
如【rú】何才能辨别哪些【xiē】是正常的svchost.exe进程,而【ér】哪些是病【bìng】毒进程【chéng】呢?
svchost.exe的【de】键【jiàn】值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”,如图1所示。图1中每个键值表示【shì】一个独【dú】立的svchost.exe组。
微软还为【wéi】我们【men】提【tí】供了一种察看系统正在运行在【zài】svchost.exe列表【biǎo】中的服务的方法。以Windows XP为例:在“运【yùn】行”中输【shū】入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出如【rú】图2所示的服务列表【biǎo】。图【tú】2中红框包围起来的区【qū】域就【jiù】是【shì】svchost.exe启动的【de】服务列【liè】表。如【rú】果使【shǐ】用的是Windows 2000系统【tǒng】则把前面的【de】“tasklist /svc”命【mìng】令【lìng】替【tì】换为:“tlist -s”即可。如果你怀疑计算机【jī】有可能被病毒感染,svchost.exe的服务出现【xiàn】异常的话通过【guò】搜索 svchost.exe文件就可以发现异【yì】常【cháng】情况。一般只会【huì】找到一个在:“C:\Windows\System32”目录下的svchost.exe程序。如【rú】果你在其它目录下发现svchost.exe程序【xù】的话,那很可【kě】能就是中毒了。
还有一种确【què】认svchost.exe是否中毒的方法是在任务管理器中察看【kàn】进程的【de】执行【háng】路径。但是由【yóu】于在【zài】Windows系统自带的任务管理器不能察看进程【chéng】路径【jìng】,所以【yǐ】要【yào】使用第三方的进【jìn】程【chéng】察看工具【jù】。
上面简单的介绍了【le】svchost.exe进程【chéng】的【de】相【xiàng】关情况【kuàng】。总而言之,svchost.exe是一个【gè】系统的核心进程,并不【bú】是病毒进程。但由于svchost.exe进【jìn】程【chéng】的特殊性,所以【yǐ】病【bìng】毒也会千方百计的入侵svchost.exe。通过察看svchost.exe进【jìn】程的执行路径可以【yǐ】确认是【shì】否中毒。
症状
在【zài】基于【yú】 Windows 2000 的计【jì】算机上,Services.exe 中的 CPU 使用率【lǜ】可【kě】能间歇性地【dì】达到【dào】100 %,并且计算【suàn】机可能停止响应(挂起)。出【chū】现此问【wèn】题时,连接到该计【jì】算机(如【rú】果它是文件服【fú】务器或域控制器)的用【yòng】户【hù】会被【bèi】断【duàn】开连接。您【nín】可能还需要重新启动计算机。如【rú】果 Esent.dll 错【cuò】误【wù】地处理将文件刷新到磁盘的方式,则会出现【xiàn】此【cǐ】症状。
解决方案
Service Pack 信息
要解【jiě】决【jué】此问【wèn】题,请获取最新的 Microsoft Windows 2000 Service Pack。有关其它信息,请单击下【xià】面的文章编号,以查看【kàn】 Microsoft 知识库中相【xiàng】应的文章:
260910 如【rú】何【hé】获取最【zuì】新的 Windows 2000 Service Pack
修复程序信息
Microsoft 提【tí】供了【le】受支持【chí】的修补程序,但该程序只是为了解决【jué】本文所介绍的问题。只有【yǒu】计【jì】算机【jī】遇到本文提到【dào】的特定问题时才可应用此修补程序【xù】。此修【xiū】补程【chéng】序可能还会接【jiē】受其它一些测试。因【yīn】此,如【rú】果这【zhè】个问题没有对您造【zào】成严重【chóng】的影响,Microsoft 建议您【nín】等待包含此修补【bǔ】程序的下一个 Windows 2000 Service Pack。
要立即解决【jué】此问题,请【qǐng】与【yǔ】“Microsoft 产品支持服务”联系,以获取此【cǐ】修补【bǔ】程序。有【yǒu】关“Microsoft 产品支【zhī】持服务”电话【huà】号码和支【zhī】持费【fèi】用信息的完整列表,请访【fǎng】问 Microsoft Web 站点:
注意 :特殊情况下,如果【guǒ】 Microsoft 支持专业人员【yuán】确定【dìng】某个特定【dìng】的更新程序能够解【jiě】决您的问题,可免收通常情况下收取的电话【huà】支【zhī】持服务费用【yòng】。对于特定更新【xīn】程序【xù】无【wú】法解【jiě】决的其它【tā】支【zhī】持问题和【hé】事项,将【jiāng】正常收【shōu】取支持费用。
下表列出了此修补程序的全球版【bǎn】本的文【wén】件属性(或更新【xīn】的【de】属性)。这些【xiē】文件【jiàn】的日期和时【shí】间按协【xié】调通用时间 (UTC) 列出。查看文件信息时【shí】,它将转换为本【běn】地时间。要了解 UTC 与【yǔ】本地时间【jiān】之【zhī】间的时差,请使用【yòng】“控制【zhì】面板”中的“日期和时间”工【gōng】具中的 时区 选项卡。
状态
Microsoft 已经确认【rèn】这是在本【běn】文【wén】开头【tóu】列出的 Microsoft 产品中存在【zài】的问题。此【cǐ】问题最初是【shì】在 Microsoft Windows 2000 Service Pack 4 中更正的。
首先,如【rú】果是从【cóng】开机后【hòu】就发生上述情况直【zhí】到关【guān】机。那幺就有可能是【shì】由某个随系统同【tóng】时【shí】登陆的【de】软件【jiàn】造成的。可以通过运行【háng】输入“msconfig”打开“系【xì】统实用配置【zhì】工具”,进入“启动【dòng】”选项卡。接着,依次取消【xiāo】可疑选项前面的对钩,然后重新启【qǐ】动电脑。反复测试直到【dào】找【zhǎo】到造成故障的软件【jiàn】。或者【zhě】可以通过一些优化软件如“优化【huà】大师【shī】”达到上述目的。另:如果键【jiàn】盘内【nèi】按键【jiàn】卡住【zhù】也可【kě】能造成开机就出现上述问题。
如果是使用电脑【nǎo】途【tú】中【zhōng】出项这类问题,可【kě】以调出任务管理器(WINXP CTRL+ALT+DEL WIN2000 CTRL+SHIFT“ESC),进入【rù】”进程“选项【xiàng】卡,看”CPU“栏,从里面找到占用资源较【jiào】高的程序(其中SYSTEM IDLE PROCESS是属于正常,它的值一般都很【hěn】高,它【tā】的作【zuò】用是告诉当【dāng】前【qián】你可用的CPU资源是多少,所以它的值越【yuè】高越好)通【tōng】过【guò】搜【sōu】索功能【néng】找到这个进程【chéng】属于哪个软件【jiàn】。然后,可以通【tōng】过升级、关闭、卸载【zǎi】这个【gè】软件或者干脆【cuì】找个同类【lèi】软件替换,问题即可得到解决。
版权所有:深圳市网商在线科技有限公司
